Cybersicherheit für Stiftungen: Schwachstellen systematisch beheben

Stiftungsrecht

Die Bandbreite an Maßnahmen gegen Cyberangriffe wächst mit der Bedrohung mit. Wichtig ist die genaue Abstimmung von Maßnahmen auf identifizierte Probleme. Wie Stiftungen sich schützen können.

In diesem Beitrag lesen Sie, mit welchen konkreten Maßnahmen sich Stiftungen vor Cyberangriffen schützen können. Mehr über das breite Spektrum an Bedrohungsszenarien erfahren Sie in diesem Beitrag.

Die Bandbreite an Maßnahmen gegen Cyberangriffe wächst mit der Bedrohung mit. Wichtig ist die genaue Abstimmung von Maßnahmen auf identifizierte Probleme. Dazu einige Beispiele:

  1. Grundlegende Sicherheitsmaßnahmen etablieren: Etablieren Sie ein Informationssicherheits-Managementsystem (ISMS). Am Anfang muss kein Maximalstandard stehen. Beginnen Sie damit, Verantwortlichkeiten zu vergeben und sich mit Ihrem spezifischen Risiko strukturiert auseinanderzusetzen.
  2. Bewusstsein für digitale Bedrohungen schaffen: Schulungen und Awareness-Maßnahmen beugen einer unbeabsichtigten Mithilfe durch falsches Verhalten vor. Ebenfalls sollten diese ein Bewusstsein schaffen, dass Non-Profit-Organisationen interessante Angriffsziele sind und dass das Thema Reputationsverlust einen besonderen Stellenwert innehat. Mitarbeiter, die die Bedrohungen kennen, können diese im Ernstfall erkennen und melden.
  3. Notwendiges Wissen und ausreichende Ressourcen sicherstellen, um ein angemessenes Schutzniveau zu erreichen: Investieren Sie in das Know-how Ihrer Mitarbeiter. Ziehen Sie zudem externe Experten zu Rate oder lagern Sie gezielt Aktivitäten aus bzw. verstärken Sie diese durch externe (abrufbare) Ressourcen.
  4. Adäquat und zügig auf einen Cyber-Angriff reagieren: Definieren Sie im Unternehmen einen sogenannten Cyber Incident Response-Prozess, in dem relevante Rollen, Verantwortlichkeiten und Prozessschritte festgelegt werden. Schaffen Sie Schnittstellen zu IT-Forensikern, die Sie technisch und organisatorisch bei der Aufarbeitung des Falls unterstützen, Angreifer zurückdrängen, Schutzbarrieren aufbauen und den normalen Betriebszustand wiederherstellen.
  5. Das Vorgehen professioneller Gruppen kennen und Vorbereitungen treffen: Informieren Sie sich über die Werkzeuge und das Vorgehen professioneller Angreifergruppen. Prüfen Sie, ob Ihr Sicherheitsniveau auch diese Tätergruppe abdeckt.
  6. Kritische Sicherheits-Updates installiert: Beziehen Sie Informationen zu (kritischen) Sicherheitslücken und sorgen Sie für zeitnahe Updates.
  7. Sicherheitslücken bei Eigenentwicklungen beheben: Schulen Sie Ihre Mitarbeiter in sicherer Softwareentwicklung und stellen Sie entsprechende Vorgaben auf. Lassen Sie Eigenentwicklungen auf Sicherheitsprobleme überprüfen (Penetrationstest).

Auseinandersetzung mit internen Tätern

Durch Spionage, Sabotage und Korruption von Mitarbeitern kann einer gemeinnützigen Organisation großer Schaden entstehen. Lückenhafte oder fehlerhafte interne Prozesse erleichtern oder ermöglichen häufig erst organisationsschädigendes Handeln.

Folgende Maßnahmen sind beispielsweise je nach festgestelltem Problem empfehlenswert:

  1. Vier-Augen-Prinzip etablieren: Implementieren Sie Funktionstrennungen und Sicherheitsmaßnahmen wie ein technisch erzwungenes Vier-Augen-Prinzip bei kritischen Aktivitäten.
  2. Das Benutzerverhalten wird ausreichend protokollieren: Im schlimmsten Fall ist nach einem Vorfall eine Untersuchung des Hergangs nur eingeschränkt möglich, da die Systeme keine technischen Protokolle vorhalten. Sorgen Sie für geeignete, möglichst fälschungsresistente Aufzeichnungen. Achten Sie bei der Ausgestaltung der Aufzeichnungen auf datenschutzrechtliche Vorgaben.
  3. Awareness schaffen: Das Sicherheitsbewusstsein der Mitarbeiter sollte durch kontinuierliche Schulungen gestärkt werden.
  4. Nach Verlassen des Unternehmens Zugriff auf Unternehmens-IT verhindern: Manchmal kann es vorkommen, dass Mitarbeiter und Unternehmen nicht im Gütlichen auseinandergehen. Sind Ihre Prozesse diesbezüglich auch auf Sicherheit ausgelegt?

Schnelle Information über Cyberschutz durch Sicherheitsüberprüfung

Eine Sicherheitsüberprüfung veranschaulicht Ihnen schnell und systematisch, wie es im Detail um die Cybersicherheit Ihrer Organisation bestellt ist und in welchen Bereichen Sie handeln sollten. Dabei sollten folgenden Fragen beantwortet werden:

  • Was sind meine schützenswerten Informationen und IT-Systeme?
  • Wie effektiv sind meine bisher etablierten technischen und organisatorischen Sicherheitsmaßnahmen?
  • In welchen Bereichen kann und sollte ich mich verbessern?

Die Bewertung der Maßnahmen sollte anhand eines Reifegradmaßstabs (Benchmark) erfolgen, wobei dieser Maßstab für jede Organisation individuell festgelegt wird. Die Auswertung sollte dazu Maßnahmen für einen Muss-, Soll- und Kannzustand differenzieren – insbesondere anhand der Eigenschaften der Organisation, wie Organisationsgröße, Organisationskultur und Risikoexposition.

Eine Analyse sollte daher alle relevanten Bereiche mit folgenden Themenfeldern abdecken:

Cybersicherheitsmanagement:

  • Ziele
  • Rollen und Zuständigkeiten
  • Ressourcen
  • Risikomanagement
  • Überprüfung und Verbesserungen
  • Dokumentenmanagement
  • Aufzeichnungs- und Nachweismanagement

Organisatorisches

  • Sicherheit in Personalprozessen
  • Umgang mit Drittparteien
  • Kennzeichnung von und Umgang mit Informationen
  • Cyber Security Incident Management
  • Business Continuity Management
  • Compliance

Technisches

  • Physische Sicherheit
  • IT-System- und Anwendungssicherheit
  • Netzwerksicherheit
  • Überwachung und Protokollierung
  • Schwachstellenmanagement
  • Verschlüsselung
  • Mobile Computing
  • Changemanagement
  • Identitäts- und Zugangskontrolle
  • Anschaffung, Entwicklung und Wartung von Systemen
  • IT-forensische Analyse

Autor:

Peter Kestner, Partner, Cyber Security, KPMG AG Wirtschaftsprüfungsgesellschaft

KPMG ist Premiumpartner des Bundesverbandes Deutscher Stiftungen. 

Sind Sie cybersicher?

Dieser Beitrag ist ein Auszug aus der KPMG-Broschüre "Sind Sie cybersicher? - Was Non-Profit-Organisationen tun können, um sich gegen Cyberangriffe zu schützen." 

Jetzt herunterladen

Aktuelle Beiträge
Unsere Demokratie

„Wir haben uns etwas sagen zu lassen“

Als im Mai dieses Jahres der Afroamerikaner George Floyd von einem Polizisten getötet wurde, erklärte sich das Stadtmuseum Berlin als eine von wenigen Stiftungen in Deutschland offen solidarisch mit der weltweit aufkommenden #BlackLivesMatter-Bewegung. Im Gespräch erklären Direktor Paul Spies und Diversitäts-Agentin Idil Efe, wie sie ihr eigenes Haus bunter machen wollen.

Mehr
Kapital und Wirkung

Einfach selbst machen – der Weg zur passenden Geldanlage

Stiftungen brauchen Wertpapier-Investments, um auskömmliche Renditen zu erwirtschaften. Die Delegation der Anlage an Experten ist angesichts von Nullzinsen allerdings oft teuer. Das passende Portfolio selbst zu bauen ist deshalb sinnvoll und leichter, als viele Stiftungsverantwortliche denken – wenn man einige Grundregeln beachtet.

Mehr
Geschlechtergerechtigkeit

Die Kraft der Frauen

Auch zum 100. Jubiläum des internationalen Frauentages gibt es in Sachen Gleichberechtigung noch viel zu tun. Nur langsam ändern sich Jahrhunderte alte Gesellschaftsstrukturen von Machtverteilung und Diskriminierung. Wie es gehen kann, zeigt die erfolgreiche Arbeit der Vicente Ferrer Stiftung zur Stärkung der Frauen im ländlichen Indien.

Mehr

Mehr zum Thema

Stiftungsrecht

Künstlersozialabgabe - das müssen Stiftungen und gemeinnützige Organisationen beachten

Nur sehr wenige gemeinnützige Organisationen sind von der Künstlersozialabgabe befreit. Seit der Verschärfung des Künstlersozialversicherungsgesetzes sind die Betriebsprüfungen durch die Deutsche Rentenversicherung deutlich intensiviert worden.

Mehr
Pressemitteilungen

Bundesverband begrüßt Regierungsentwurf zur Stiftungsrechtsreform - und fordert nötige Nachbesserungen

Die dringend notwendige Reform des deutschen Stiftungsrechts rückt näher: Der Regierungsentwurf für das neue Gesetz hat gestern das Kabinett passiert. Der Bundesverband begrüßt die deutlichen Verbesserungen im Vergleich zum Referentenentwurf, fordert aber gleichzeitig nötige Nachbesserungen.

Mehr
Stiftungsrecht

Vereinheitlichung des Stiftungsrechts: Diese Nachbesserungen sind notwendig

Der Bundesverband Deutscher Stiftungen begrüßt grundsätzlich den Regierungsentwurf zur Stiftungsrechtsreform. Um rechtssicheres und effektives Handeln der Stiftungen auch in Zukunft zu ermöglichen, sind noch wesentliche Nachbesserungen und Klarstellungen notwendig.

Mehr